Validatie van WHfB-sleutels die kwetsbaar zijn voor ROCA tijdens authenticatie configureren

Met deze beleidsinstelling kunt u configureren hoe domeincontrollers Windows Hello for Business (WHfB)-sleutels verwerken die kwetsbaar zijn voor ‘Return of Coppersmith's attack' (ROCA).

Ga voor meer informatie over de kwetsbaarheid voor ROCA naar:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361

https://en.wikipedia.org/wiki/ROCA_vulnerability

Wanneer u deze beleidsinstelling inschakelt, zijn de volgende opties beschikbaar:

Negeren: tijdens verificatie controleert de domeincontroller WHfB-sleutels niet op de kwetsbaarheid voor ROCA.

Controleren: tijdens verificatie genereert de domeincontroller controlegebeurtenissen voor WHfB-sleutels die kwetsbaar zijn voor ROCA (de verificatie wordt wel voltooid).

Blokkeren: tijdens verificatie blokkeert de domeincontroller het gebruik van WHfB-sleutels die kwetsbaar zijn voor ROCA (de verificatie mislukt).

Deze instelling wordt alleen van kracht op domeincontrollers.

Als u dit niet configureert, gebruiken domeincontrollers hun lokale standaardconfiguratie. De lokale standaardconfiguratie is Controleren.

Voor het van kracht worden van deze instelling is opnieuw opstarten niet nodig.

Opmerking: om onverwachte onderbrekingen te voorkomen is het verstandig om deze instelling niet in te stellen op Blokkeren voordat de juiste beperkende maatregelen zijn genomen, zoals het patchen van kwetsbare TPM's.

Meer informatie is te vinden op https://go.microsoft.com/fwlink/?linkid=2116430.

Ondersteund op: Minimaal Windows Vista

Opties voor het verwerken van WHfB-sleutels die kwetsbaar zijn voor ROCA:


  1. WHfB-sleutels die kwetsbaar zijn voor ROCA negeren
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\SAM
    Value NameSamNGCKeyROCAValidation
    Value TypeREG_DWORD
    Value0
  2. WHfB-sleutels die kwetsbaar zijn voor ROCA controleren bij gebruik
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\SAM
    Value NameSamNGCKeyROCAValidation
    Value TypeREG_DWORD
    Value1
  3. WHfB-sleutels die kwetsbaar zijn voor ROCA blokkeren bij gebruik
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\SAM
    Value NameSamNGCKeyROCAValidation
    Value TypeREG_DWORD
    Value2


sam.admx

Beheersjablonen (computers)

Beheersjablonen (gebruikers)